Suchen Sie Ant­wor­ten auf die­se Fra­gen?

  • Sind in der Regel min­de­stens zehn Per­so­nen stän­dig mit der auto­ma­ti­sier­ten Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten beschäf­tigt?
  • EU Daten­schutz­grund­ver­ord­nung? Ich bie­te Erste Hil­fe Maß­nah­men für KMU!
  • Was ist zu tun, wenn die Daten­schutz­auf­sicht schreibt?
  • Wie set­ze ich Goog­le Ana­ly­tics daten­schutz­kon­form ein?
  • Darf ich die eMail-Post­fä­cher mei­ner Mit­ar­bei­ter öff­nen?
  • Wer hält Schu­lun­gen über Daten­schutz nach der DS-GVO?
  • Ist Pri­va­cy Shield eine wirk­li­che Alter­na­ti­ve zur Daten­über­tra­gung in die USA?

Dann sind Sie hier genau rich­tig! Rufen Sie uns an 09123 – 789630

Ber­li­ner Daten­schutz­be­auf­trag­te ver­hängt Buß­geld gegen Immo­bi­li­en­ge­sell­schaft

P r e s s e m i t t e i l u n g vom 5. Novem­ber 2019

Am 30.Oktober 2019 hat die Ber­li­ner Beauf­trag­te für Daten­schutz und Infor­ma­ti­ons­frei­heit gegen die Deut­sche Woh­nen SEei­nen Buß­geld­be­scheid in Höhe von rund 14,5 Mil­lio­nen Euro wegen Ver­stö­ßen gegen die Daten­­schutz-Grun­d­­ver­­or­d­­nung (DS-GVO) erlas­sen.

Bei Vor-Ort-Prü­­fun­­­gen im Juni 2017 und im März 2019 hat die Auf­sichts­be­hör­de fest­ge­stellt, dass das Unter­neh­men für die Spei­che­rung per­so­nen­be­zo­ge­ner Daten von Mie­te­rin­nen und Mie­tern ein Archiv­sy­stem ver­wen­de­te, das kei­ne Mög­lich­keit vor­sah, nicht mehr erfor­der­li­che Daten zu ent­fer­nen. Per­so­nen­be­zo­ge­ne Daten von Mie­te­rin­nen und Mie­tern wur­den gespei­chert, ohne zu über­prü­fen, ob eine Spei­che­rung zuläs­sig oder über­haupt erfor­der­lich ist. In begut­ach­te­ten Ein­zel­fäl­len konn­ten daher teil­wei­se Jah­re alte pri­va­te Anga­ben betrof­fe­ner Mie­te­rin­nen und Mie­ter ein­ge­se­hen wer­den, ohne dass die­se noch dem Zweck ihrer ursprüng­li­chen Erhe­bung dien­ten. Es han­del­te sich dabei um Daten zu den per­sön­li­chen und finan­zi­el­len Ver­hält­nis­sen der Mie­te­rin­nen und Mie­ter, wie z. B. Gehalts­be­schei­ni­gun­gen, Selbst­aus­kunfts­for­mu­la­re, Aus­zü­ge aus Arbeits- und Aus­bil­dungs­ver­trä­gen, Steuer‑, Sozi­al- und Kran­ken­ver­si­che­rungs­da­ten sowie Kon­to­aus­zü­ge.

Nach­dem die Ber­li­ner Daten­schutz­be­auf­trag­te im ersten Prüf­ter­min 2017 die drin­gen­de Emp­feh­lung aus­ge­spro­chen hat­te, das Archiv­sy­stem umzu­stel­len, konn­te das Unter­neh­men auch im März 2019, mehr als ein­ein­halb Jah­re nach dem ersten Prüf­ter­min und neun Mona­te nach Anwen­dungs­be­ginn der Daten­­schutz-Grun­d­­ver­­or­d­­nung weder eine Berei­ni­gung ihres Daten­be­stan­des noch recht­li­che Grün­de für die fort­dau­ern­de Spei­che­rung vor­wei­sen. Zwar hat­te das Unter­neh­men Vor­be­rei­tun­gen zur Besei­ti­gung der auf­ge­fun­de­nen Miss­stän­de getrof­fen. Die­se Maß­nah­men hat­ten jedoch nicht zur Her­stel­lung eines recht­mä­ßi­gen Zustands bei der Spei­che­rung per­so­nen­be­zo­ge­ner Daten geführt. Die Ver­hän­gung eines Buß­gel­des wegen eines Ver­sto­ßes gegen Arti­kel 25 Abs. 1 DS-GVO sowie Arti­kel 5 DS-GVO für den Zeit­raum zwi­schen Mai 2018 und März 2019 war daher zwin­gend.

Die Daten­­schutz-Grun­d­­ver­­or­d­­nung ver­pflich­tet die Auf­sichts­be­hör­den sicher­zu­stel­len, dass Buß­gel­der in jedem Ein­zel­fall nicht nur wirk­sam und ver­hält­nis­mä­ßig, son­dern auch abschreckend sind. Anknüp­fungs­punkt für die Bemes­sung von Geld­bu­ßen ist daher u. a. der welt­weit erziel­te Vor­jah­res­um­satz betrof­fe­ner Unter­neh­men. Auf­grund des im Geschäfts­be­richt der Deut­sche Woh­nen SE für 2018 aus­ge­wie­se­nen Jah­res­um­sat­zes von über einer Mil­li­ar­de Euro lag der gesetz­lich vor­ge­ge­be­ne Rah­men zur Buß­geld­be­mes­sung für den fest­ge­stell­ten Daten­schutz­ver­stoß bei ca. 28 Mil­lio­nen Euro.

Für die kon­kre­te Bestim­mung der Buß­geld­hö­he hat die Ber­li­ner Daten­schutz­be­auf­trag­te unter Berück­sich­ti­gung aller be- und ent­la­sten­den Aspek­te die gesetz­li­chen Kri­te­ri­en her­an­ge­zo­gen. Bela­stend wirk­te sich hier­bei vor allem aus, dass die Deut­sche Woh­nen SE die bean­stan­de­te Archiv­struk­tur bewusst ange­legt hat­te und die betrof­fe­nen Daten über einen lan­gen Zeit­raum in unzu­läs­si­ger Wei­se ver­ar­bei­tet wur­den. Buß­geld­mil­dernd wur­de hin­ge­gen berück­sich­tigt, dass das Unter­neh­men durch­aus erste Maß­nah­men mit dem Ziel der Berei­ni­gung des rechts­wid­ri­gen Zustan­des ergrif­fen und for­mal gut mit der Auf­sichts­be­hör­de zusam­men­ge­ar­bei­tet hat. Auch mit Blick dar­auf, dass dem Unter­neh­men kei­ne miss­bräuch­li­chen Zugrif­fe auf die unzu­läs­sig gespei­cher­ten Daten nach­ge­wie­sen wer­den konn­ten, war im Ergeb­nis ein Buß­geld im mitt­le­ren Bereich des vor­ge­ge­be­nen Buß­geld­rah­mens ange­mes­sen.

https://​www​.daten​schutz​-ber​lin​.de/​f​i​l​e​a​d​m​i​n​/​u​s​e​r​_​u​p​l​o​a​d​/​p​d​f​/​p​r​e​s​s​e​m​i​t​t​e​i​l​u​n​g​e​n​/​2​0​1​9​/​2​0​1​9​1​1​0​5​ – ​P​M​ – ​B​u​s​s​g​e​l​d​_​D​W​.​pdf

/​von